XXX门户网站信息安全架构设计方案V1.2

XXX 政府网站信息安全架构设计方政府网站信息安全架构设计方案案 文档编号文档编号 密级密级商业机密 版本编号版本编号V1.0 日期日期2008-8-29 2022XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 1 -目录目录一. 项目背景.1二. 信息系统安全保护等级.2三. 信息系统基本情况.4四. 信息系统安全平台架构需求分析 .54.1 物理安全需求.64.1.1 等保建设差距.64.1.2 等保建设建议.64.2 网络安全需求.74.2.1 等保建设差距.74.2.2 等保建设建议.74.3 主机安全需求.74.3.1 等保建设差距.74.3.2 等保建设建议.84.4 应用安全需求.84.4.1 等保建设差距.84.4.2 等保建设建议.84.5 数据安全及恢复需求 .94.5.1 等保建设差距.94.5.2 等保建设建议.9五. 安全方案设计原则.95.1 合规性.95.2 稳定可靠.95.3 实时性和高效性.105.4 安全风险可控.105.5 集中化管理.105.6 灵活性和扩展性.10六. 安全架构技术解决方案.106.1 数据中心安全产品部署总览 .106.2 容灾中心安全产品部署总览 .136.3 物理安全.166.3.1 物理安全防护规范.166.3.2 环境安全.166.3.3 设备安全.176.4 网络安全.186.4.1 安全域设计.186.4.2 防火墙系统设计.19XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 2 -6.4.3 抗拒绝服务系统设计.206.4.4 入侵保护系统设计.226.4.5 入侵检测系统设计.236.4.6 安全审计系统设计.246.4.7 漏洞扫描系统设计.256.4.8 网络设备自身安全设计.266.4.9 安全管理平台设计.276.5 主机安全.286.5.1 防病毒体系设计.296.5.2 WSUS 补丁管理系统设计.306.5.3 LINUX 补丁管理与病毒查杀设计.316.5.4 主机审计系统设计.316.5.5 系统安全加固设计.326.6 应用安全.356.6.1 双因素身份认证系统设计.356.6.2 WEB 应用防火墙设计.366.6.3 网站监测和防篡改系统设计.386.6.4 数据库安全设计.386.7 数据安全及备份恢复设计 .40七. 等级保护管理体系建设.417.1.1 安全管理机构.417.1.2 环境安全保障措施.427.1.3 安全管理制度.437.1.4 人员安全管理.457.1.5 系统建设管理.467.1.6 系统运维管理.467.1.7 管理体系建设.51八. 方案与等保符合度说明.54XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 1 -一一. 项目背景项目背景1.1 规划需求规划需求XXX 政府网站经过近几年的大力建设，已经初步形成了 XXXX 局电子政务对外服务的平台，为社会公众和政府机构提供各项 XXXX 方面的信息服务。随着国家政府信息公开力度的加强，以及 XXX 电子政务建设投资规模的加大，作为XXX 网上政务公开及对外服务窗口的全国 XXXX 局系统政府门户网站，其原有原来的系统支撑平台体系和服务内容渐渐无法满足业务增长的需要，扩大网上政务信息公开范围、加强网上对外服务能力、建立安全保障体系势在必行。纵观 XXXX 政府门户网站的现状，主要存在如下需规划和整改的方面：国家加大了对信息安全工作的重视程度，先后签发了信息安全等级保护管理办法、关于开展全国重要信息系统安全等级保护定级工作的通知等规范性文件。为了进一步提高 XXX 政府网站信息系统的整体防护能力，需要在对网站信息系统设施状况进行有效评估的基础上，做出网站的系统和安全整改规划，以使 XXX 政府网站的建设与管理提升到一个新的水平，推动服务型政府建设，更好地为广大社会公众服务。1.2 规划重点规划重点XXX 政府网站安全规划的重点放在两个方面：基于信息系统安全等级保护三级要求选择恰当的风险控制措施选择适当的风险控制措施，部署必要的安全产品，确保 XXX 政府网站的安全水平达到最基本的要求，确保信息系统的机密性、完整性、可用性，保障业务的正常进行，可参看方案的“安全产品解决方案”章节。规划信息安全平台架构 通过现状分析了解目前 XXX 政府网站所面临的风险，并建立管理体系，按照 Plan-Do-Check-Action（PDCA 方法）来保障体系的选择实施风险控制措施，并通过日常的安全运维来进行保障，可参看方案中的“安全服务方案”章节。XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 2 -1.3 设计依据设计依据中华人民共和国计算机信息系统安全保护条例 （国务院 147 号令）国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327 号）关于信息安全等级保护工作的实施意见（公通字200466 号）关于开展信息系统安全等级保护基础调查工作的通知（公信安20051431 号）关于开展信息安全等级保护试点工作的通知（公信安2006573 号）信息安全等级保护管理办法（公通字200743 号计算机信息系统安全保护等级划分准则（GB17859-1999）信息系统安全等级保护定级指南信息系统安全等级保护基本要求信息系统安全等级保护实施指南信息系统安全等级保护测评要求XXX 政府网站信息系统安全现状分析1.4 建设目标建设目标系统安全设计目标是基于现代信息安全理论，采用目前国内先进的信息安全技术，建立等级化的安全保障体系，保护网络系统服务的连续性，防范网络资源的非法访问及非授权访问，防范恶意攻击与破坏，保证信息通过网上传输过程中的机密性和完整性，最终实现系统的安全可靠运行。满足信息系统安全等级保护三级的基本要求。二二. 信息系统安全保护等级信息系统安全保护等级2.1 系统整体识别与描述系统整体识别与描述实施等级保护工作首先要求各单位对其拥有的或拟建的信息网络系统进行深入的识别和描述，识别和描述的内容至少包括如下信息：系统基本信息系统名称，系统的简要描述，所在地点等。系统相关单位负责定级的责任单位，系统所属单位，系统运营单位，主管部门，安全运营单位，安全主管部门等。系统范围和边界XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 3 -描述系统所涵盖的信息资产范围、使用者和管理者范围、行政区域范围和网络区域范围等，并清晰描述出其边界。系统提供的主要功能或服务从整体层面描述系统所提供的主要功能或服务，即对公众、企业、相关政府机关、内部用户等提供的主要服务。系统所包含的主要信息描述系统所输入、处理、存储、输出 的主要信息和数据。（可描述当前安全措施和安全状态，可根据信息系统安全风险评估报告内容来确定）2.2 信息系统的安全等级保护模型信息系统的安全等级保护模型根据安全防护要求中的等级保护相关要求和安全需求分析报告，针对模型要素提出需要实现的安全措施，安全技术方面的措施和安全管理方面的措施，如下图所示：安全总体策略两大体系管理体系技术体系分类保护要求M(制度管理)P（人员管理）T（技术培训）A（安全评估）P（保护技术）D（安全监测）R（应急反应）R（安全恢复）物理层*网络层*节点管理*应用层*技术数据与恢复*安全建设管理*安全运维管理*安全机构管理*管理人员安全管理*XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 4 -安全制度建设*三三. 信息系统基本情况信息系统基本情况图图 2-1 XXX 政府网站网络拓扑图政府网站网络拓扑图网站基础设施主要托管在 IDC 机房，系统 2005 年搭建，采用的是 HP 的服务器、TRS的小集群做搜索引擎及内容管理。基础设施、网络设备、网站应用三方面的主要现状如下：目前 XXX 的服务器及存储主要是 HP 和 Net App 的产品，服务器主要是 HP 380G4 和HP 580G2，存储主要是 HP MSA1000 磁盘阵列和 Net App FAS3020。服务器性能、部分单机的稳定性以及系统的存储容量等已难以满足使用需要。XXX 政府网站的网络设备由两台 D-Link DGS-3324SR 交换机组成，网站出口处部署了一台天融信的 NGFW4000-VPN 防火墙（70 个 Key） 、一台 Collapsar-200 DDOS 防护设备，网站内部署了绿盟科技的“冰之眼”入侵检测系统、 “极光”安全评估系统、 “黑洞”抗拒绝服务攻击系统。XXX 政府网站建立了网站内容管理、全文检索等系统，内容管理采用 TRS 内容协作平台（以下简称 TRS WCM)，站点检索采用 TRS 站点检索系统TRS WSS 和 TRS 关系数据XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 5 -库网关TRS Gateway 实现。另外为增强网站的服务能力和应用水平，还开发有网上业务服务、文献服务、咨询台等多个网上应用系统。 四四. 信息系统安全平台架构需求分析信息系统安全平台架构需求分析根据信息系统安全等级保护基本要求 、 XXX 政府网站信息系统安全现状分析 ，通过对比系统将要达到的安全等级的安全要求，得到现状和要求间的差距，即为安全需求。如图所示：图 基本要求的框架结构第三级基本要求物理安全网络安全主机安全应用安全第一级基本要求第二级基本要求第四级基本要求第五级基本要求数据安全及备份恢复技术要求管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 6 -图 系统安全需求4.1 物理安全需求物理安全需求4.1.1 等保建设差距等保建设差距根据等级保护标准进行现状分析，网站主要存在的问题如下：VIP4 区内的电源线和信号线布置不规范，信号线上没有端口标识；机房没有专门的防盗报警系统，只是在机房出入口和 VIP4 区设置了视频监控系统。4.1.2 等保建设建议等保建设建议物理访问控制、防盗窃和防破坏：解决方案是机房安装保安监控，并且布设门禁系统。防雷击、防火、防水和防潮、防静电：解决方案是机房安装防雷、消防、防静电处理、接地、漏水监测系统。温湿度控制：解决方案是配置恒温恒湿空调。电力供应：解决方案是机房安装 UPS 系统。电磁防护：解决方案是机房装修时在墙面、吊顶及地面进行电测防护，可以考虑安装彩钢板或铝塑板等，可以有效的防治电磁信号外泄。XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 7 -4.2 网络安全需求网络安全需求4.2.1 等保建设差距等保建设差距根据等级保护标准进行现状分析，网站主要存在的问题如下：重要网段与其他网段之间有网段划分,但是不同网段之间没有隔离措施。未依据重要程度对业务服务进行分类，网络设备上无带宽控制的相关配置。外联防火墙没有开启审计日志。没有部署边界检查设备，不能检测到非法外联行为。部分网络设备没有对管理员登录地址进行限制；当对网络设备进行远程管理时，使用 TELNET 明文通信传输方式，没有采取必要措施防止鉴别信息在网络传输过程中被窃听。4.2.2 等保建设建议等保建设建议访问控制需求；解决方案是规划安全区域，利用防火墙进行边界访问控制；入侵防范需求；解决方案是利用网络 IDS 和 IPS 进行入侵监测和防护；安全审计需求；解决方案是利用网络审计设备进行网络上的操作审计；病毒防范需求；解决方案是安装防病毒软件；结构安全需求；解决方案是网络结构设计时避免单点故障，考虑必要的冗余及协议恢复； 网络设备防护需求；解决方案是增加网络设备自身的安全设置。4.3 主机安全需求主机安全需求4.3.1 等保建设差距等保建设差距根据等级保护标准进行现状分析，网站主要存在的问题如下：没有启用登录失败处理功能；没有较强的强制密码策略。XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 8 -审计内容除了用户登录行为以外，缺乏对系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件的审计。4.3.2 等保建设建议等保建设建议服务器的身份鉴别、访问控制、补丁升级、剩余信息保护、资源控制的需求；解决方案是部署 WSUS 补丁服务器和主机审计软件。安全审计、入侵防范的需求；解决方案是依靠网络安全里的审计和入侵检测、主机审计软件完成。病毒防范的需求；解决方案是部署防病毒软件，对网络上的病毒进行防范。4.4 应用安全需求应用安全需求4.4.1 等保建设差距等保建设差距根据等级保护标准进行现状分析，网站主要存在的问题如下：部分服务器没有采用 SSL 等通讯加密功能。Web 应用程序可被 SQL 注入。视频点播/直播服务器 2 和日志分析服务器存在 XSS 漏洞，利用该漏洞，可以进行跨站攻击；应用服务器存在 SQL 数据库注入漏洞，渗透测试的结果表明能够利用此漏洞获取服务器系统权限，同时利用其为跳板对同网段主机和内网主机进行进一步渗透，最终获取防火墙、网站日志分析服务器、存储设备等其他服务器的控制权限。4.4.2 等保建设建议等保建设建议应用安全的需求我们主要依靠搭建双因素身份认证系统，完成用户的身份识别、抗抵赖等功能。针对 WEB 应用的特殊性，我们增加 WEB 应用防火墙，来保障 WEB 网站的安全。XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 9 -4.5 数据安全及恢复需求数据安全及恢复需求4.5.1 等保建设差距等保建设差距根据等级保护标准进行现状分析，网站主要存在的问题如下：防火墙没有硬件冗余。4.5.2 等保建设建议等保建设建议数据安全的需求；解决方案是部署双因素身份认证系统。备份和恢复的需求；解决方案是采用冗余技术设计网络拓扑结构，提供主要网络设备、通信线路和数据处理系统的硬件冗余。五五. 安全方案设计原则安全方案设计原则从以上各方面的需求出发，在设计 XXX 政府网站信息安全架构方案时，我们将遵循以下原则：5.1 合规性合规性本次信息安全架构设计把满足等级保护合规建设要求放在第一位。在项目中对安全需求的处理方法，推荐的安全控制措施，包括其部署、应用的方式，都是以满足等级保护三级要求为目标而进行设计的。5.2 稳定可靠稳定可靠对政府门户网站来说，信息系统的稳定可靠是最重要的。在本次项目中建议的安全控制措施，包括其部署、应用的方式，都是在政府行业门户网站中有众多先例的，已经被广大政府机构所接受。XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 10 -5.3 实时性和高效性实时性和高效性在本次信息安全架构设计中考虑了 XXX 政府网站未来五年的业务增长情况，建议采用高处理能力的安全产品，以保证实时性和高效性。5.4 安全风险可控安全风险可控根据业务与运行的数据，进行安全区域的划分，将整体网络分割为不同的区域，并在边界进行严格的访问控制。5.5 集中化管理集中化管理在本次项目中建议选择集中式管理。通过集中化的管理，可以方便有效的监控、管理网络中部署的安全产品。5.6 灵活性和扩展性灵活性和扩展性在本次项目中设计的架构在政府行业有着广泛的应用，充分保证满足用户的可靠性运行要求、灵活性和扩展性要求。六六. 安全架构技术解决方案安全架构技术解决方案6.1 数据中心安全产品部署总览数据中心安全产品部署总览针对以上安全威胁与需求，建议在 XXX 政府网站部署以下安全设备，构建安全技术体系，全面抵御威胁。XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 11 -图图 6-1 安全设备部署总图安全设备部署总图安全设备安全设备部署位置部署位置安全防护安全防护已有已有新增新增防火墙防火墙托管机房Internet 入口、IPS 后网络边界访问控制，各安全区域之间访问控制。将整体网络隔离为不同的安全域，是安全体系形成的基础。1 台1 台抗拒绝服务系抗拒绝服务系统统托管机房Internet 入口对 DDoS 攻击进行检测与防护。保护托管的 Web 服务等区域的安全。1 台1 台入侵检测系统入侵检测系统双核心交换机镜像口检测入侵与可疑行为并实时报告。对重要的业务系统实施入侵检测手段，简化安全管理工作，提高安全监控力度。1 台1 台入侵保护系统入侵保护系统Internet 入口、抗拒绝服务系检测入侵与可疑行为并实时阻断。1 台1 台XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 12 -统后WEB 应用防应用防火墙火墙WEB 服务器前检测针对 WEB 的入侵与可疑行为并实时阻断。N/A2 台安全漏洞扫描安全漏洞扫描系统系统网管区部署一台安全漏洞扫描系统对网络内的服务器、终端和网络设备进行扫描，集中发现安全漏洞，是漏洞管理系统的核心。1 台N/A防毒软件防毒软件在网管区安装防病毒服务器Windows 服务器与客户端上，安装防毒软件客户端在网络与 Windows 计算机上进行病毒的实时检查与保护。进行病毒的预防、检测与清除。1 套N/A网页检测和防网页检测和防篡改系统篡改系统服务器区部署一台网页检测和防篡改系统对网站的各个应用进行统一监测和防篡改防护。1 套N/AWSUS 补丁补丁服务系统服务系统服务器区部署一台 WSUS 补丁服务器对网站系统内的 Windows 服务器进行统一管理。减少运维人员工作量，使 Windows 系统自动安装补丁，提高系统安全性。N/A1 套主机审计系统主机审计系统在网管区部署一台安全管理服务器在每一台WINDOWS 服务器上安装安全管理软件对 WINDOWS 系统进行保护，同时进行安全管理。实现对WINDOWS 系统进行安全审计和资源管理，实时掌握安全状况，协助进行补丁分发。N/A1 套双因素身份认双因素身份认证系统证系统在网管区部署双因素身份认证管理服务器对重要服务器安装因素身份认证 Agent启用动态密码防护，对所有身份认证进行统一管理。N/A1 套XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 13 -在网管区部署冗余的双因素身份认证管理服务器安全管理平台安全管理平台（SOC）在网管区部署SOC 管理服务器网管区部署SOC 数据库和事件管理服务器对安全设备进行统一集中管理。N/A1 套6.2 容灾中心安全产品部署总览容灾中心安全产品部署总览基于XXXX 政府门户网站基础设施架构设计及升级改造方案、XXXX 政府门户网站应用系统架构设计及升级改造方案。我们建议在容灾中心的安全产品部署如下：XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 14 -安全设备安全设备部署位置部署位置安全防护安全防护数量数量防火墙防火墙托管机房Internet 入口网络边界访问控制，各安全区域之间访问控制。将整体网络隔离为不同的安全域，是安全体系形成的基础。1 台抗拒绝服务系抗拒绝服务系统统托管机房Internet 入口对 DDoS 攻击进行检测与防护。保护托管的 Web 服务等区域的安全。1 台入侵检测系统入侵检测系统双核心交换机镜像口检测入侵与可疑行为并实时报告。对重要的业务系统实施入侵检测手段，1 台XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 15 -简化安全管理工作，提高安全监控力度。入侵保护系统入侵保护系统Internet 入口、抗拒绝服务系统后检测入侵与可疑行为并实时阻断。1 台WEB 应用防火应用防火墙墙WEB 服务器前检测针对 WEB 的入侵与可疑行为并实时阻断。1 台安全漏洞扫描安全漏洞扫描系统系统网管区部署一台安全漏洞扫描系统对网络内的服务器、终端和网络设备进行扫描，集中发现安全漏洞，是漏洞管理系统的核心。1 台防毒软件防毒软件在网管区安装防病毒服务器Windows 服务器与客户端上，安装防毒软件客户端在网络与 Windows 计算机上进行病毒的实时检查与保护。进行病毒的预防、检测与清除。1 套网页检测和防网页检测和防篡改系统篡改系统服务器区部署一台网页检测和防篡改系统对网站的各个应用进行统一监测和防篡改防护。1 套WSUS 补丁服补丁服务系统务系统服务器区部署一台 WSUS 补丁服务器对网站系统内的 Windows 服务器进行统一管理。减少运维人员工作量，使Windows 系统自动安装补丁，提高系统安全性。1 套主机审计系统主机审计系统在网管区部署一台安全管理服务器在每一台WINDOWS 服务器上安装安全管理软件对 WINDOWS 系统进行保护，同时进行安全管理。实现对 WINDOWS 系统进行安全审计和资源管理，实时掌握安全状况，协助进行补丁分发。1 套双因素身份认双因素身份认证系统证系统在网管区部署双因素身份认证管启用动态密码防护，对所有身份认证进行统一管理。1 套XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 16 -理服务器对重要服务器安装因素身份认证Agent在网管区部署冗余的双因素身份认证管理服务器安全管理平台安全管理平台（SOC）在网管区部署SOC 管理服务器网管区部署SOC 数据库和事件管理服务器对安全设备进行统一集中管理。1 套6.3 物理安全物理安全6.3.1 物理安全防护规范物理安全防护规范计算机信息系统安全保护等级划分准则明确要求物理安全包括：环境安全、设备安全、记录介质安全。因此，物理安全主要在环境安全、设备安全和介质安全三个方面采取保护措施，如门控系统、监控报警系统和区域保护措施等。6.3.2 环境安全环境安全环境的安全主要是指机房环境和人员的安全，包括以下内容：（1）机房的选址，要注意选择安全的地点，避开经常发生雷击、暴雨、盗窃、水灾、火灾、地震、海啸等的地点。（2）对于机房环境，我们设计方案中建议按照国家和规划局有关标准建设机房，安装必要的设备以便达到合适的温度、湿度；XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 17 -能够防尘、防静电；防水、防火、防雷电；（3）对于供电系统我们设计方案中建议可以采取的措施为一般供电；不间断电源；（4）在出入控制方面，机房要采取适当的出入控制措施有专门管理出入的人员；出入登记；采用指纹识别等技术的电子门禁系统。（5）机房管理人员行为准则机房应该开辟专门的饮水间和休息娱乐室，工作人员不得在工作间吃喝、吸烟、打闹、玩游戏等。（6）区域保护和灾难保护参见国家标准 GB5017393电子计算机机房设计规范 、国标 GB288789计算站场地技术条件 、GB936188计算站场地安全要求 。6.3.3 设备安全设备安全设备安全主要指两类设备：网络专用设备（如路由器、交换机等）和主机设备（如终端计算机、服务器等） 。（1）提高设备可靠性新设备尽可能采用高质量、高可靠的设备，如有必要，要将关键的旧设备或现用设备在合适时候更换为性能更好、功能更完备、运行更稳定的新一代产品。（2）保障设备环境设备应该存放在厂商要求的机房环境下，如温度、湿度、灰尘、静电等要求。（3）设备备份重要设备应该有备份系统，例如：硬盘镜像双机备份XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 18 -双链路（4）设备安装与维护我们设计方案中建议的保护措施为：严格按照厂家的要求安装和维护；必要时要做到最终用户难以私自安装、拆卸设备的软、硬部件，这些工作一定要机房专门人员来完成并且得到安全管理层的授权；特别安装，使最终用户只能够接触到完成工作所必须的接口设备和应用程序，如键盘、鼠标和屏幕等。6.4 网络安全网络安全信息系统安全等级保护基本要求规划网络安全防护包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、 病毒防范、网络设备防护等。我们针对每种防范要求做相应的防范措施，会在下面的网络安全方案里详细介绍：结构安全（G3）（通过网络的冗余设计，防止单点故障，通过对性能的预留，路由、ip地址、vlan 规划，做到网络结构安全）访问控制（G3）（通过防火墙和 VPN 完成网络访问控制，完成访问保护）安全审计（G3）（解决方案详见安全审计系统设计）入侵防范（G3）（解决方案详见入侵检测系统设计）病毒防范（G3）（解决方案详见防病毒体系设计）网络设备防护（G3）（解决方案详见网络设备自身安全设计）6.4.1 安全域设计安全域设计综合考虑信息系统整体结构，在安全保障对象描述时，引用“安全域”的概念，从而实现分层次的安全体系设计以及安全技术规范的统一。“安全域”是根据信息性质、使用主体、安全目标和策略等的不同来划分的，是具有相近的安全属性需求的网络实体的集合。一个安全域内可进一步被划分为安全子域，安全子域也可继续依次细化为次级安全域、三级安全域等等。同一级安全域之间的安全需求包括两个方面：隔离需求和连接需求。隔离需求对应着网络边界的身份认证、访问控制、不可抵赖、审计等安全服务；连接需求对应着传输过程中涉密性、完整性、可用性等安全服务。下级安全域继承上级安全域的隔离和连接需求。XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 19 -整个 XXX 政府网站系统可定义为四个不同的安全域：核心安全域主要包括 WEB 应用系统，核心安全域应采用高度的安全设计，具有严格的安全管理设施、制度等。可根据需要采取必要的安全技术，如防病毒、入侵防护、防火墙等。基本安全域 主要包括门户网站系统的其它应用服务器。这些服务器都是 XXX 的内部人员使用，相对安全可靠，不会蓄意破坏 XXX 政府网站系统。可信任域主要是指维护 XXX 政府网站的客户端，使用人员都是 XXX 内部人员，客户端数量少，位置固定，风险较低。非安全域互联网访问用户都定义为非安全区域。我们就四个安全区域的安全需求；并结合已有的安全防护手段来完成网络层的安全防护。6.4.2 防火墙系统设计防火墙系统设计6.4.2.1 需求分析需求分析TCP/IP 的灵活设计和 Internet 的普遍应用为网络黑客技术的发展提供了基础，黑客技术很容易被别有用心或喜欢炫耀的人们掌握，由此黑客数量剧增。加之网络连接点多面广，客观上为黑客的入侵提供了较多的切入点。为了使信息系统在保障安全的基础上被正常访问，需要一定的设备来对系统实施保护，保证只有合法的用户才可以访问系统。防火墙是目前技术最成熟的网络安全产品，通常使用在与 Internet 的出口处，在Internet 网边界处部署防火墙，将内部网和外部不信任网络、内部网络中主要的应用服务器和内部其它网段用防火墙隔离保护，以实现对内部网以及主机系统的访问控制和边界安全的集中管理。 XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 20 -6.4.2.2 部署建议部署建议图图 6-1 防火墙系统部署图防火墙系统部署图在网络边界部署两台支持多链路的硬件防火墙设备。在防火墙上设置路由策略与防御策略。使用防火墙部署独立的 DMZ 服务器区。并且通过核心交换机将内部网络划分为若干个VLAN。并且在核心交换机上部署 ACL 策略。将网络中每个不同的应用隔离开。提高网络整体的可靠性，防止了攻击的扩散与传播。规格与配置规格与配置数量数量备注备注至少四个接口，支持 VPN2 台Internet 入口6.4.3 抗拒绝服务系统设计抗拒绝服务系统设计6.4.3.1 需求分析需求分析基于整体安全要求的考虑，应该在 Internet 入口处设置对拒绝服务攻击的防护手段。通常使用的防火墙作为通用型网络安全产品，在防 DDoS 方面不能达到专业产品的性能和效率，对大规模的 DDoS 攻击是无能为力的，甚至会成为攻击目标，造成整个网络的中断。为了实XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 21 -现在抗拒绝服务攻击的同时不影响网络的通讯速度，应当采用专门的硬件设备来抵御拒绝服务攻击。当前，XXX 政府网站已经部署了绿盟科技的 Collapsar-200 抗拒绝服务攻击系统，仅能够抵御小规模攻击。随着网络安全形势的恶化，大规模分布式拒绝服务攻击泛滥成灾，攻击者很容易制造出几个 G 的攻击流量。所以，当前部署的抗拒绝服务系统已经无法在性能上适应网站未来五年的防护需要。且根据等级保护的要求，部署在互联网出、入口的设备需要具备冗余机制，如果仍然采用单链路部署抗拒绝服务系统，将带来单点故障风险，造成业务中断。因此，建议对已有的抗拒绝服务攻击系统进行升级。同时，增加一台抗拒绝服务攻击系统以应对网络改造后带来的新的防护需求。6.4.3.2 部署建议部署建议图图 6-2 抗拒绝服务系统部署图抗拒绝服务系统部署图抗拒绝服务攻击系统的部署方式为双线路串联，即两条互联网出口处的线路上分别部署一台抗拒绝服务攻击系统，可以起到负载分担的作用。每台抗拒绝服务攻击系统的两个端口不用配置 IP 地址，另有一个带外管理网口，用于远程管理。抗拒绝服务攻击系统位于防火墙前端，这样在保护服务器的同时可以保护防火墙。在高可用性方面，抗拒绝服务攻击系统需要具备硬件 BYPASS 模块，当设备出现软硬件故障时，可以自动切换到直通状态，保证网络的连通性；同时双线路的部署方式也避免了单点故障的问题，完全保障了高可用性方面的需求。XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 22 -配置抗拒绝服务攻击系统检测和防御各类 DDoS 攻击，全部抗拒绝服务攻击系统通过网管区内的控制台进行管理。规格与配置规格与配置数量数量备注备注支持硬件 BYPASS，至少两个工作口，一个管理口2 台部署在 Internet 防火墙前6.4.4 入侵保护系统设计入侵保护系统设计6.4.4.1 需求分析需求分析IPS 是通过直接串联到网络链路中对数据流量进行实时检测，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络。目前，XXX 政府网站已经在互联网出、入口部署了 IPS 产品，用以监控对网站服务器的各种攻击行为。但是，根据等级保护的要求，部署在互联网出、入口的设备需要具备冗余机制，如果仍然采用单链路部署入侵保护系统，将带来单点故障风险，造成业务中断。因此，建议增加一台入侵保护系统，应对网络改造后带来的新的防护需求。6.4.4.2 部署建议部署建议图图 6-3 入侵保护系统部署图入侵保护系统部署图XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 23 -入侵保护系统的部署方式为双线路串联，即两条互联网出口处的线路上分别部署一台入侵保护系统，每台入侵保护系统的两个端口不用配置 IP 地址，另有一个带外管理网口，用于远程管理。入侵保护系统位于防火墙后端，起到保护服务器群的作用。在高可用性方面，入侵保护系统需要具备硬件 BYPASS 模块，当设备出现软硬件故障时，可以自动切换到直通状态，保证网络的连通性；同时双线路的部署方式也避免了单点故障的问题，完全保障了高可用性方面的需求。配置入侵保护系统检测和防御各类攻击攻击，全部入侵保护系统通过网管区内的控制台进行管理。规格与配置规格与配置数量数量备注备注至少两个网络接口模块插槽，两个管理口，支持四路工作口。2 台部署在 Internet 防火墙后6.4.5 入侵检测系统设计入侵检测系统设计6.4.5.1 需求分析需求分析入侵检测系统是对防火墙有益的补充，被认为是防火墙之后的第二道安全闸门。入侵检测系统对网络的通信进行检测，提供对内部攻击、外部攻击和误操作的实时监控，提供主动的安全保护方式，可以很好地提高网络的安全性。目前，网络中已经部署了绿盟科技的冰之眼 NIDS 入侵检测系统。冰之眼 NIDS 可以实时检测网络流量，监控各种网络行为，对违反安全策略的通信进行报警，实现事前警告、事中防护和事后取证。但网络改造增加了新的网络设备，也带来了新的安全需求，当前，NIDS只支持单路监听。不满足监控多个交换设备的镜像流量的需要。因此，建议对已有的 NIDS 进行升级，增加工作口，使其支持多路监听。6.4.5.2 部署建议部署建议XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 24 -图图 6-4 入侵检测系统部署入侵检测系统部署在两台核心交换机旁部署单台入侵检测系统，入侵检测系统的两个工作口分别接入核心交换机的流量镜像口，检测攻击与可疑行为。入侵检测系统工作时需要实时检测网络中的通信数据包，因此在每一台交换机上应进行端口镜像的配置，将需要进行检测的网络通信流量镜像到入侵检测系统所在的端口上，入侵检测设备的端口不需要配置 IP 地址。网管区的入侵检测系统控制台可以实现集中管理。当发现攻击与可疑行为时，入侵检测系统会通过管理口，实时向网管区的控制台报警，管理员可以在控制台屏幕上看到这些情况并采取措施，如在防火墙上封闭某外部攻击 IP 的访问，处理某终端的病毒发作等。规格与配置规格与配置数量数量备注备注至少两个网络接口模块插槽，两个管理口2 台接在核心交换机的镜像口6.4.6 安全审计系统设计安全审计系统设计6.4.6.1 需求分析需求分析防火墙、入侵检测等传统网络安全手段，可实现对网络异常行为的管理和监测，如网络连接和访问的合法性进行控制、监测网络攻击事件等，但是不能监控网络内容和已经授权的正常内部网络访问行为，因此，对正常网络访问行为导致的信息泄密事件、网络资源滥用行为、运维行为也无能为力，也难以实现针对内容、行为的监控管理及安全事件的追查取证。因此，XXX 政府网站系统需要通过安全审计系统对上述问题进行有效监控和管理。6.4.6.2 部署建议部署建议图图 6-5 安全审计系统部署安全审计系统部署XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 25 -在两个核心交换机旁部署单台的安全审计系统，安全审计设备的两个工作口分别接入核心交换机的流量镜像口，实现全面细粒度审计。审计内容包括：IM 即时通讯、P2P 下载、在线视频、网络游戏、WEBMAIL、炒股软件、论坛、FTP、TELNET、NETBIOS、SMTP、POP3、数据库访问。这样，在遇到紧急事件后可以根据审计内容进行有效追查和问责。安全审计系统通过网络数据的采集、分析、识别，实时动态监测 XXX 政府网站系统的互联网通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位，为整体 XXXX 局电子审批系统安全策略的制定提供权威可靠的支持。安全审计系统工作时需要实时检测网络中的通信数据包，因此在每一台交换机上应进行端口镜像的配置，将需要进行检测的网络通信流量镜像到安全审计系统所在的端口上，安全审计系统的端口不需要配置 IP 地址。网管区的安全审计系统控制台可以实现集中管理。规格与配置规格与配置数量数量备注备注至少两个网络接口模块插槽，两个管理口2 台接在核心交换机的镜像口6.4.7 漏洞扫描系统设计漏洞扫描系统设计6.4.7.1 需求分析需求分析安全漏洞的危害范围在逐渐扩大，由系统层扩展到应用层，由服务器端扩展到客户端，由少数操作系统到绝大多数操作系统；由此造成的经济损失也越来越大，尤其是用户不易察觉的隐性攻击造成的损失是无法衡量的。漏洞扫描系统能够主动诊断系统安全状态，有效避免由漏洞攻击导致的安全问题，它从漏洞的整个生命周期着手，在周期的不同阶段采取不同的措施，是一个循环、周期执行的工作流程。6.4.7.2 部署建议部署建议XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 26 -图图 6-6 漏洞扫描系统部署漏洞扫描系统部署在核心交换机上接入一台漏洞扫描设备，由网管区内的控制台远程进行管理。漏洞扫描设备可以对各系统服务器及其他网络设备进行扫描，发现漏洞并统一管理。主动查找漏洞，事先修补，做到积极防御。规格与配置规格与配置数量数量备注备注支持无限 IP 扫描。1 台接在网管区6.4.8 网络设备自身安全设计网络设备自身安全设计构成 XXX 政府网站系统的路由器、交换机、网关等设备的安全，是网络安全的基础。除了要求这些设备符合组网功能要求外，还至少必须：有冗余特性，如支持双机热备、备件热插拔等协议实现的一致性：实现的各种网络协议的标准相一致当发现系统安全漏洞时，系统集成商或系统、设备提供商、系统开发商能够及时提供系统补丁必须具有认证、授权、审计安全特性身份认证：支持基于口令、动态口令、PKI 体制中一种或几种的身份认证机制授权：设备支持对不同用户角色的管理功能，不同角色的用户具有不同的权限审计：对配置、访问流量等信息进行审计记录，具有审计硬件接口（如千兆以太网交换机带测试口）或通信接口（如支持 Syslog）对于内置密码算法的网络设备密码算法：必须保障密码算法的可评估性及实现的有效性密钥安全：具有密钥存储、使用的安全机制密钥管理：能完全实现密钥管理安全协议的支持支持访问控制安全策略及管理功能。能够对设备开放的服务进行管理，如支持 IP包过滤、路由策略管理、局域网交换机能够支持多网段划分等XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 27 -支持在线的安全网络管理6.4.9 安全管理平台设计安全管理平台设计6.4.9.1 需求分析需求分析目前，防火墙、入侵检测系统、入侵保护系统、漏洞扫描系统、抗拒绝服务系统等设备都有各自独立的部署方式和管理控制台。这种相对独立的部署方式带来的问题是各个设备独立的配置、各个引擎独立的事件报警，这些分散独立的安全事件信息难以形成全局的风险观点，导致了安全策略和配置难于统一协调。这种对于复杂的网络的安全管理正是安全监控的需求根源，也是安全监管系统着重解决的问题之一。XXX 政府网站系统中已经部署了众多的安全设备，为了实现对整个系统内的安全设备进行的统一安全管理，建议采用安全管理平台（SOC）。6.4.9.2 部署建议部署建议图图 6-7 安全管理平台系统部署安全管理平台系统部署安全设备管理系统采用三层分布式体系结构，主要由被管设备层、管理中心层、控制台层组成。被管设备XXX 政府网站系统网络环境内的防火墙、IDS、IPS、抗拒绝服务系统、安全审计、扫描器、防病毒系统、路由器、交换机、服务器、PC 机等安全设备和网络设备是安全设备管理系统的管理对象。设备代理部署在安全设备或网络设备上，负责采集设备运行数据、下发设备控制信息。支持与安全管理中心通过 SNMP 协议、文件或私有加密通道进行通信。XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 28 -管理中心部署在网管区的专用服务器上，负责分析、组织、处理网络环境内的告警、设备运行信息。它是安全设备管理系统产品的核心，负责连接其它模块，传递运行数据，并完成所有管理功能的后台处理。控制台控制台部署在远程的普通 PC 机上，远程连接访问任意的一个管理中心。XXX 政府网站运维人员可以通过管理程序客户端进行设备监控、报警管理。规格与配置规格与配置数量数量备注备注支持对1 台接在网管区6.5 主机安全主机安全信息系统安全等级保护基本要求规划主机系统安全防护包括：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、病毒防范、资源控制等。我们针对每种防范要求做相应的防范措施，会在下面的系统安全方案里详细介绍： 身份鉴别（S3）（操作系统自身的安全管理需求：定期更新密码，对非法登录控制等）访问控制（S3）（对系统和数据库的访问控制需求，我们通过对不同的用户和角色的认证授权，完成用户访问资源控制）安全审计（G3）（对系统和数据库的访问审计需求，部分审计功能可以由网络审计设备完成）剩余信息保护（S3）（解决方案详见 WINDOWS 安全管理设计）入侵防范（G3）（系统和数据的入侵防护，可以通过安装网络入侵检测设备，系统恢复、系统最小安装、关闭不必要的服务，及时补丁升级）病毒防范（G3）（解决方案详见防病毒体系设计）资源控制（A3）（解决方案详见 WINDOWS 安全管理设计）XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 29 -6.5.1 防病毒体系设计防病毒体系设计6.5.1.1 需求分析需求分析使用企业版的网络防毒软件对 Windows 系统的计算机进行本地的病毒管理。在服务器区中安装一台防病毒服务器，负责网内的计算机防毒管理，在 Windows 服务器上安装防病毒客户端软件，进行本地的病毒查杀，并将本机防毒方面的状况实时向服务器通报。防病毒服务器管理自己网络区域的客户端，包括防病毒策略的设定和配置，日志的收集，病毒库，扫描引擎等组件的更新。6.5.1.2 部署建议部署建议图图 6-8 防病毒系统部署防病毒系统部署在服务器区中部署一台防病毒管理服务器，安装防病毒服务端管理软件。所有WINDOWS 服务器安装防病毒客户端软件。统一的防病毒策略将由安全管理员通过服务端定制，并下发到每一台服务器上。基于等级保护中备份和恢复的要求，建议在服务器区中部署一台防病毒管理备份服务器。当原服务器业务中断时，可以启用备份服务器快速应急，保证服务质量。基于高可用性的设计原则，备份恢复用的 WSUS 补丁管理系统和防病毒服务端软件可以装在同一台服务器上。XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 30 -6.5.2 WSUS 补丁管理系统设计补丁管理系统设计6.5.2.1 需求分析需求分析传统的防毒系统，只需要在服务器和客户机上安装必要的杀毒软件并及时更新病毒库就可以了。然而这些工作在网络还没有发展的情况下是非常有效的，在网络应用已经大范围普及，传输速度大大提高的背景下，仅安装杀毒软件还是不够。这时需要保证所有计算机的操作系统漏洞补丁得到及时更新，这时需要采用补丁管理系统。补丁管理系统将各种软件、各种系统的补丁全部下载，保存到服务器专门的文件夹下，其他客户机更新补丁前需要把 UPDATE 站点指向服务器的 IP 地址或域名，这样客户机就可以直接到服务器上下载并更新补丁。如微软公司推出的 WSUS 就是这种代理方式的补丁管理系统。使用补丁管理系统的可以有效提高网络中各系统的安全性，只需通过补丁管理系统就可以管理全部系统的补丁更新工作。建议在内外网各部署一套 WSUS 补丁分发系统，各由一台服务器负责，对 Windows 相关的终端、服务器进行补丁升级。6.5.2.2 部署建议部署建议图图 6-9 WSUS 补丁管理系统部署补丁管理系统部署在服务器区中部署一台 WSUS 补丁管理服务器，安装 WSUS 服务端软件。所有内、外网 WINDOWS 服务器都启用自动更新服务，目标 IP 指向 WSUS 补丁管理服务器。实现自动更新功能。该部署方式提高了补丁更新速度，也解决了内网服务器打补丁的问题。XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 31 -基于等级保护中备份和恢复的要求，建议在服务器区中部署一台 WSUS 补丁管理备份服务器。当原服务器业务中断时，可以启用备份服务器快速应急，保证服务质量。基于高可用性的设计原则，备份恢复用的 WSUS 补丁管理系统和防病毒管理端软件可以装在同一台服务器上。6.5.3 LINUX 补丁管理与病毒查杀设计补丁管理与病毒查杀设计6.5.3.1 补丁管理补丁管理XXX 政府网站配置了很多红旗 LINUX 系统的服务器，如 WEB 服务器、TRS 服务器、行业搜索等。这些重要业务服务器的特点是：系统情况复杂，利用补丁自动分发机制容易出现问题；业务作用十分重要，如果在打补丁环节出现问题，可能造成业务中断；相对 Windows 系统计算机数量而言，数量不多。建议对这些服务器以人工打补丁方式进行处理，而不利用补丁自动分发系统，并不会造成很大的工作量。在重要的服务器上安装补丁之前，应搭建模拟环境进行测试，确定不会产生负面影响之后再进行。安装补丁应在业务系统空闲的期间进行，并且应事先准备好备用系统，以备万一。6.5.3.2 病毒查杀病毒查杀从目前流行的病毒来看，基本上都是针对 Windows 系统，对其他操作系统能产生威胁的病毒在实际环境中几乎看不到。因此，建议不在 LINUX 服务器上安装防病毒客户端，而主要依靠漏洞扫描与修补、及时安装补丁的方面来消除这方面的威胁。需要注意的是，非 Windows 系统虽然极少受病毒的威胁，但不等于这些系统上完全不会存在病毒。6.5.4 主机审计系统设计主机审计系统设计6.5.4.1 需求分析需求分析根据建设要求，整个信息系统提供公开服务的主机操作系统应满足：自主访问控制、审计、保证数据完整性以及可用性的要求。XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 32 -服务器管理系统从桌面安全管理、运行监控、资产与补丁管理等多个角度进行安全管理，防御各种内部攻击行为，可以满足运维人员对服务器集中审计和管理的需要。同时，通过策略配置，运行监控，报表分析等功能可以满足等级保护对主机资产管理和防护的合规要求。6.5.4.2 部署建议部署建议图图 6-10 主机安全管理服务器部署主机安全管理服务器部署如上图，在服务器区部署主机安全管理服务器，对所有的应用服务器进行统一管理。安全管理员可以通过主机安全管理系统管理服务器，在每一台服务器上安装主机安全管理Agent 软件。统一的安全策略将由安全管理员通过服务端定制，并下发到每一台服务器上。6.5.5 系统安全加固设计系统安全加固设计系统漏洞在不断被发现，而且从漏洞被发生到相应利用工具的出现的间隔越来越短，维护人员应加强漏洞修补工作。建议：根据漏洞扫描系统的扫描结果和给出的安全漏洞修补建议进行漏洞修补对服务器进行安全配置，减少漏洞的出现，详细内容如下：对 Windows 系统的安全配置建议：设置密码的安全策略。更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值，保障帐号以及口令的安全；XXX 政府网站信息安全架构设计方案政府网站信息安全架构设计方案 2008密级：商业机密密级：商业机密 - 33 -禁用或删除不必要的用户。通过 AD 域服务器的用户和计算机管理单元或者在“计算机管理”管理单元中检查系统上的活动账号列表，管理员可以禁用或者删除所有的不必要帐号（包括重复账号, 测试账号, 共享账号，普通部门账号等等），这些账号很多时候都是黑客们入侵系统的突破口。同时，系统的账号越多，存在弱口令的可能性一般也就越大；卸载不需要的服务。将暂时不需要开放的服务停止。安装 Windows 2000 Server 之后，应该根据最小化的安全原则来配置系统的服务。额外的不必要的任何网络服务（例如 Terminal Services 终端服务、IIS 服务和 RAS 服务等）都可能给主机系统带来安全漏洞